PHP yazılım paketi deposu Packagist, bir “saldırganın” bugüne kadar 500 milyondan fazla yükleme ile bir düzineden fazla paketi ele geçirmek için platformdaki dört etkin olmayan hesaba erişim kazandığını ortaya çıkardı.
Packagist’ten Nils Adermann, “Saldırgan her bir paketi çatalladı ve composer.json’daki paket açıklamasını kendi mesajıyla değiştirdi, ancak bunun dışında herhangi bir kötü niyetli değişiklik yapmadı” dedi. “Paket URL’leri daha sonra çatallı depoları gösterecek şekilde değiştirildi.”
Dört kullanıcı hesabının, birden fazla Doctrine paketi de dahil olmak üzere toplam 14 pakete erişimi olduğu söyleniyor. Olay 1 Mayıs 2023’te meydana geldi. Etkilenen paketlerin tam listesi şu şekilde:
- acmephp/acmephp
- acmephp/çekirdek
- acmephp/ssl
- doktrin/doktrin önbellek paketi
- doktrin/doktrin modülü
- doktrin/doktrin-mongo-odm-modülü
- doktrin/doktrin-orm-modülü
- doktrin/başlangıççı
- büyüme kitabı/büyüme kitabı
- jdorn/dosya sistemi önbelleği
- jdorn/sql-biçimlendirici
- khanamiryan/qrcode-detector-decoder
- nesne jimnastiği/phpcs jimnastiği kuralları
- tga/simhash-php
Bleeping Computer için yazan güvenlik araştırmacısı Axe Sharma, değişikliklerin bir iş bulmak amacıyla “neskafe3v1” takma adlı anonim bir penetrasyon test cihazı tarafından yapıldığını ortaya çıkardı.
Özetle saldırı zinciri, Composer ortamlarında kullanılan kurulum iş akışını etkin bir şekilde değiştirerek, bu paketlerin her biri için Packagist sayfasını aynı adı taşıyan bir GitHub deposuna dönüştürmeyi mümkün kıldı.
Başarılı bir kullanım, paketleri indiren geliştiricilerin gerçek içeriğin aksine çatallı sürümü alacağı anlamına geliyordu.
Packagist, hiçbir ek kötü niyetli değişikliğin dağıtılmadığını ve tüm hesapların devre dışı bırakıldığını ve paketlerinin 2 Mayıs 2023’te geri yüklendiğini söyledi. Ayrıca kullanıcıları, hesaplarını güvenceye almak için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeye çağırıyor.
Adermann, “Dört hesabın tümü, diğer platformlardaki önceki olaylarda sızdırılan paylaşılan şifreleri kullanıyor gibi görünüyor” dedi. “Lütfen, şifreleri tekrar kullanmayın.”
Geliştirme, bulut güvenlik firması Aqua’nın 250 milyondan fazla eser ve 65.000’den fazla kapsayıcı görüntüsü içeren binlerce açığa çıkmış bulut yazılımı kayıt defterini ve deposunu belirlemesiyle geldi.
Yanlış yapılandırmalar, kayıt defterlerini yanlışlıkla internete bağlamaktan, tasarım gereği anonim erişime izin vermekten, varsayılan parolaları kullanmaktan ve kullanıcılara kayıt defterini kötü amaçlı kodla zehirlemek için kötüye kullanılabilecek yükleme ayrıcalıkları vermekten kaynaklanmaktadır.
“Bu durumların bazılarında, anonim kullanıcı erişimi, potansiyel bir saldırganın sırlar, anahtarlar ve parolalar gibi hassas bilgileri ele geçirmesine izin verdi ve bu da ciddi bir yazılım tedarik zinciri saldırısına ve yazılım geliştirme yaşam döngüsünün (SDLC) zehirlenmesine yol açabilir. Araştırmacılar Mor Weinberger ve Assaf Morag geçen ayın sonlarında açıkladılar.